导语:Avast在CCleaner APT调查中的最新发现显示,攻击者通过TeamViewer可进入Piriform网络。
我在RSA分享了Avast调查CCleaner APT(高级持续威胁)中的新发现。
去年九月,我们透露CCleaner已成为网络犯罪分子的目标,通过CCleaner安装文件发布恶意软件。修改的安装文件被全球227万名CCleaner客户下载。此后,我们的威胁情报团队一直在调查此事。
自从上个月在SAS发布更新以来,我们已经进一步发现了攻击者是如何渗入Piriform网络以及他们的隐形策略。在寻找与其他攻击的相似之处时,我们还分析了老版本的ShadowPad,这是在四台Piriform电脑上发现的网络攻击平台。我调查显示,ShadowPad之前在韩国以及俄罗斯的被入侵的计算机上使用过,进行金融交易。
CCleaner攻击:威胁攻击者如何进入Piriform网络
为了发起CCleaner攻击,威胁攻击者首先在2017年3月11日访问了Piriform的网络(Avast收购该公司前四个月),在开发人员个人工作站上使用TeamViewer进行渗透。他们通过单一登录成功获得访问权限,这意味着他们知道登录凭证。虽然我们不知道攻击者是如何获得凭证的,只能推测威胁攻击者使用Piriform工作站用户已泄露的其他服务凭证来访问TeamViewer帐户。
根据日志文件,TeamViewer在当地时间凌晨5点访问,当时PC无人值守,但正在运行。攻击者试图安装两个恶意DLL,但由于缺乏系统管理权限,这些尝试失败。在第三次尝试中,攻击者使用VBScript(Microsoft开发的脚本语言)成功删除了payload 。
攻击者试图进入第一台计算机
第二天,2017年3月12日,攻击者横向移动到第二台计算机上,再次将工作时间(当地时间凌晨4点)以外的无人照管计算机作为目标。攻击者通过微软的远程桌面服务打开后门,向计算机的注册表传递二进制文件和payload。传播的payload是第二阶段恶意软件的旧版本,已传染给40位CCleaner用户。
3月12日向第二台计算机横向移动
两天后,攻击者又回到了第一台电脑,用老版本的第二阶段恶意软件感染。
攻击者回到第一台计算机,用旧版本的第二阶段恶意软件感染
经过几周的静默之后,下一阶段的payload被交付给第一台受感染的计算机。我们认为威胁攻击者在静默期间准备了恶意二进制文件。攻击者利用多种技术渗透内部网络中的其他计算机,包括使用键盘记录器收集密码,并通过Windows远程桌面应用程序以管理权限登录。payload是臭名昭着的ShadowPad,我们认为它是CCleaner攻击的第三阶段。它作为一个mscoree.dll库交付给Piriform网络中的四台计算机,包括一个build服务器,将其作为一个.NET运行时库进行屏蔽以免引起注意。存储在磁盘上的库有一个时间戳,显示我们发现的ShadowPad版本是在2017年4月4日编译的。这是在Piriform电脑上安装之前的8天,这意味着它针对攻击进行了定制,我们在3月和9月的早期博文中也对此进行了描述。
攻击者在进入Piriform网络五个月之后才将恶意payload隐藏到CCleaner中。 Avast在2017年7月18日收购了Piriform,并于2017年8月2日发布了首款携带payload的CCleaner版本。有趣的是,他们花了很长时间才开始对CCleaner用户发起攻击。
ShadowPad活跃在韩国和俄罗斯
在分析来自Piriform网络的ShadowPad可执行文件后,我们在VirusTotal上查找到了类似的文件。我们找到了两个样本,一个出现在韩国,另一个出现在俄罗斯。
从韩国上传到VirusTotal的样本于2017年12月27日上传。该样本旨在与韩国建国大学的CnC服务器进行通信,很可能是在黑客电脑上进行的。根据上传样本的方式和信息,我们认为用户将其上传到VirusTotal,而不是安全公司。
来自互联网搜索引擎Shodan.io的图片,显示了CnC服务器IP地址上可用的服务;图片来源:Shodan
解密的配置,显示攻击中使用的IP地址;图片来源:Avast
我们在VirusTotal上找到的第二个ShadowPad可执行文件是针对俄罗斯的一台计算机,该计算机属于一个参与公共预算分配的组织。一份提交文件上传了文件名,第二份提交文件上传到了中国的VirusTotal。第一份文件于2017年11月3日提交,第二份文件于2017年11月6日提交。
在第二次提交中,我们发现了一个7ZIP文件,其中包含更多的文件,包括之前的提交,以及来自键盘记录模块的加密日志。我们解密了日志文件,并找到了在各种进程中的按键,例如来自Microsoft Word,Firefox,Windows资源管理器和КриптоПроCSP(CryptoPro CSP)。最有趣的是Firefox用户完成金融交易的日志。我们还找到了一份也是公共记录的合同,以及参与这些流程的员工姓名。
从俄罗斯ShadowPad版本的分析中得出一个有趣的结论是,ShadowPad并是不总是模块化的。在来自俄罗斯的版本中,所有模块都捆绑在一个可执行文件中,而不是单独存储在Windows注册表中(Piriform攻击的版本)。捆绑版本让我们深入了解攻击者更全面的模块。攻击者甚至懒得将其中一些下载到Piriform网络;只有三个在俄罗斯攻击中使用的插件也用于Piriform攻击。
用于俄罗斯攻击的ShadowPad模块
俄罗斯攻击中使用的最古老的恶意可执行文件是在2014年建立的,这意味着它背后的组织可能已经进行了多年的间谍活动。我们在键盘记录器中找到的具体付款信息是公开记录,但攻击者很可能也访问了敏感信息。
网络安全需要成为并购调查的核心部分
韩国和俄罗斯的例子再次强调了ShadowPad长期以来一直很活跃,而且看到了ShadowPad如何彻底监视机构和组织,这是令人恐惧的。
在CCleaner方面,高达227万名CCleaner消费者和企业下载了受感染的CCleaner产品。然后攻击者在仅有40台由高科技和电信公司运营的PC上安装恶意的第二阶段。没有证据表明可能处于第三阶段的ShadowPad是通过CCleaner分发给40台PC中的任何一台。
对于Avast,CCleaner攻击有两个关键要点。首先,并购调查必须超越法律和财务问题。公司需要高度关注网络安全,对于我们来说,这已成为收购过程中需要关注的关键领域之一。其次,供应链并不是企业的关键优先事项,但这需要改变。攻击者将一直试图找到最薄弱的环节,如果一个产品被数百万用户下载,这对他们来说是一个有吸引力的目标。公司需要增加对供应链安全的关注和投资。